漏洞风险提示（20260211）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress Ultimate Video Player Plugin授权错误漏洞（CVE-2025-49432）
一、漏洞描述：
        
        WordPress和WordPress plugin都是WordPress基金会的产品，WordPress是一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站，WordPress plugin是一个应用插件。
        WordPress Ultimate Video Player Plugin 10.1及之前版本存在授权错误漏洞，该漏洞源于程序未正确实施授权和身份认证检查，攻击者可利用该漏洞执行更高权限的操作。
二、风险等级：
        高
三、影响范围：
        WordPress Ultimate Video Player Plugin ≤ 10.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://patchstack.com/database/ ... erability?_s_id=cve

---

2 Plane跨站脚本漏洞（CVE-2025-55203）
一、漏洞描述：
        
        Plane是Plane开源的一个开源、自托管的项目规划工具。
        Plane 0.28.0之前版本的description_html字段存在跨站脚本漏洞，该漏洞源于程序未正确，攻击者可利用该漏洞在用户浏览器上注入并执行恶意JavaScript代码，从而劫持会话、窃取敏感信息。
二、风险等级：
        高
三、影响范围：
        Plane Plane V0.28.0之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://drive.google.com/file/d/ ... 5w/view?usp=sharing

---

3 Firebird异常情况检查错误漏洞（CVE-2025-24975）
一、漏洞描述：
        
        Firebird是Firebird基金会的一套开源跨平台的提供多个ANSI SQL-92功能的关系型数据库管理系统。
        Firebird 4.0.6.3183之前版本、5.0.2.1610之前版本和6.0.0.609之前版本存在异常情况检查错误漏洞，攻击者可利用该漏洞通过从外部执行语句访问加密数据库。
二、风险等级：
        高
三、影响范围：
        Firebird Firebird≤ 6.0.0.608
        Firebird Firebird ≤ 5.0.2.1609
        Firebird Firebird≤ 4.0.6.3182
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/FirebirdSQL/f ... GHSA-fx9r-rj68-7p69

---

4 Joomla! SQLi漏洞（CVE-2025-54474）
一、漏洞描述：
        
        Joomla!是Joomla!开源的一个自由、开放源代码的内容管理系统。
        Joomla! 3.9.2至3.10.1版本的“DJ-Classifieds”组件存在SQLi漏洞，攻击者可利用该漏洞执行任意SQL命令。
二、风险等级：
        高
三、影响范围：
        Joomla! Joomla! ≥ 3.9.2 ≤ 3.10.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://dj-extensions.com/

---